拦截系统调用

最新推荐文章于 2024-06-17 10:11:51 发布
原创 最新推荐文章于 2024-06-17 10:11:51 发布 · 3.2k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了如何在Ubuntu中拦截系统调用,重点在于理解系统调用的工作原理,通过从内核导出的符号表获取sys_call_table的地址,并详细介绍了清除sys_call_table内存区域写保护的两种方法,包括修改cr0寄存器。

今天在ubuntu中玩了下“拦截系统调用”,记录下自己对整个实现的理解。

原理

在linux kernel中,系统调用都放在一个叫做“sys_call_table”的分配表里面,在进入一个系统调用的最后一步,会调用与eax中包含的系统调用号对应的特定服务例程:

call *sys_call_table(,%eax,4)

因为分派表中的每个表项占4个字节,因此首先把系统调用号乘以4,再加上sys_call_table分配表的起始地址,然后从从这个地址单元获取指向服务例程的指针,内核就找到了要调用的服务例程。我们只要修改对应的分配表项,即可实现系统调用的拦截。

获取sys_call_table的地址

网上介绍了很多种方法得到sys_call_table的地址,我使用了相对简单的一种方法——从内核导出的符号表中获取。

图中,十六进制数c15b3000即为sys_call_table的地址。同时,我们也得到了一个重要的信息,该符号对应的内存区域是只读的!

清除写保护

因为sys_call_table分配表的内存属性为只读,因此,我们要先清除对应地址的写保护。暂时使用了两种方法实现该目的:

第一种方法,修改cr0读写保护位:

/* 清除写保护 */
unsigned int clear_and_return_cr0(void)
{
最低0.47元/天 解锁文章
Linux内核模块编程-系统调用拦截
zyfforlinux
11-16 4887
系统调用拦截本文实验基于Centos6.5 内核版本2.6.32-431.el6.x86_64,系统调用拦截的目的其实就是把系统真正要执行的系统调用替换为我们自己写的内核函数。系统调用拦截实现那么如何去实现系统调用拦截呢,通过学习系统调用的内核实现我们发现其实系统调用的地址是放在sys_call_table中通过系统调用号定位到具体的系统调用地址,然后开始调用,那么通过编写内核模块来修改sys_c
拦截系统(贪心算法)
w_g_y123456的博客
04-13 849
题目描述 某国为了防御敌国的导弹袭击,发展出一种导弹拦截系统.但是这种导弹拦截系统有一个缺陷:虽然它的第一发炮弹能够到达任意的高度,但以后每一发炮弹都不能超过前一发的高度.某天,雷达捕捉到敌国的导弹来袭.由于该系统还在试用阶段,所以只有一套系统,因此有可能不能拦截所有的导弹.请帮助计算一下最少需要多少套拦截系统. 输入 输入包括:导弹总个数(正整数),导弹依此飞来的高度(雷达给出的高度数据是不大于30000的正整数,用空格分隔) 输出 对应输出拦截所有导弹最少要配备多少套这种导弹拦截系统. 思路及代码: 有
在Linux操作系统中如何截获系统调用
08-02
下面简单的介绍一下在Linux操作系统中如何截获系统调用。希望对大家的学习有所帮助。
手把手教你|拦截系统调用
嵌入式Linux
01-18 917
一、什么是系统调用系统调用是内核提供给应用程序使用的功能函数,由于应用程序一般运行在用户态,处于用户态的进程有诸多限制(如不能进行 I/O 操作),所以有些功能必须由内核代劳完成。而内...
Linux 2.6 劫持系统调用 隐藏进程
joy
03-22 3245
Linux 2.6 劫持系统调用 隐藏进程 linuxsystemtablestructhooklinux内核     一、原理        Intel x86系列微机支持256种中断,为了使处理器比较容易地识别每种中断源,把它们从0~256编号,即赋予一个中断类型码n,Intel把它称作中断向量。        而Linux中的系统调用使用的是128号,即0x80号中
精选资源
Intercept-System-Calls:使用可加载的内核模块拦截系统调用
03-11
拦截系统调用 目的:使用可加载内核模块(LKM)拦截系统调用 概念:从根本上来说,系统调用应作为内核的一部分来实现,并且每次添加系统调用时,在修改静态系统调用表后,都需要重新编译内核映像,该表跟踪所有实现...
如何用ptrace拦截系统调用并替换为自定义代码
fdfasf的博客
11-19 1030
如何用ptrace拦截系统调用并替换为自定义代码 tracer能够改变系统调用参数,改变系统调用的返回值,甚至屏蔽特定的系统调用,将特定系统调用替换为自定义的helloworld函数。 ptrace系统调用拦截替换原理为:利用ptrace函数使父进程跟踪子进程,当子进程在执行系统调用时,断住子进程,获取并保存当前系统调用的寄存器信息。然后备份ip寄存器指向的指令块A,替换为我们要执行的code指令块B,B执行后ip地址值恢复为指令块A及寄存器内容。 下面用例子实现上面的系统调用拦截替换功能。首先我们的目标
基于API-HOOK技术的软件行为动态监控与分析系统-通过拦截系统调用实现进程行为追踪与恶意代码检测-用于教学演示与网络安全实验研究-包含DLL注入日志记录多模块测试及可视化界.zip
最新发布
08-27
基于API-HOOK技术的软件行为动态监控与分析系统是一套能够通过拦截系统调用实现进程行为追踪与恶意代码检测的先进技术工具。该系统的主要功能包括动态监控软件行为、分析软件进程、检测恶意代码以及记录DLL注入...
最少拦截系统
weixin_33722405的博客
01-10 100
水题,我用老方法写的; 其实题意就是找到最少的子序列; 某国为了防御敌国的导弹袭击,发展出一种导弹拦截系统.但是这种导弹拦截系统有一个缺陷:虽然它的第一发炮弹能够到达任意的高度,但是以后每一发炮弹都不能超过前一发的高度.某天,雷达捕捉到敌国的导弹来袭.由于该系统还在试用阶段,所以只有一套系统,因此有可能不能拦截所有的导弹. 怎么办呢?多搞几套系统呗!你说说倒蛮容易,成本呢...
使用kprobes,截获execve系统调用,更谨慎的hook syscallTable的写法
weixin_30768661的博客
09-16 349
转载,原文出处:http://blog.chinaunix.net/u/548/showart.php?id=386423 关于截获execve等系统调用,很久以来存在一个问题:新函数不能直接调旧函数, 否则导致stack不平衡,出错。 曾经有高人用一串的汇编代码去平衡堆栈, 但对于偶们这些汇编菜鸟来说, 连阅读都很困难。 而且, 好像gcc4.x下不支持 它使用的一种寻址方式了。...
linux x86系统调用拦截
Idle_Cloud的专栏
07-04 1425
原地址: http://blog.chinaunix.net/uid-8350672-id-2031689.html   /*以苏师姐给的程序说明*/ 一、步骤概览: 编写系统调用服务例程——>添加系统调用号——>修改系统调用表——>重新编译内核并测试新添加的系统调用。    如果重新编译内核的话需要很长的时间,我们可以将系统调用服务例程作为模块加载进内核。当然
截断系统调用
2302_76892983的博客
06-17 602
linux常见的hook技术内核模块、Inline Hook、Got Hook、Preload Hook、系统文件修改需求需要将所有的进程的系统调用都截断可选的有内核模块、Preload Hook、系统文件修改。
LWN:非特权容器中的系统调用拦截机制!
Linux News搬运工
07-13 663
关注了就能看到更多这么棒的文章哦~System call interception for unprivileged containersBy Jake EdgeJune 29, 2022LSSNADeepL assisted translationhttps://lwn.net/Articles/899281/在德克萨斯州奥斯汀举行的 2022 年北美 Linux 安全...
探索高效系统调用拦截:syscall_intercept 开源库
gitblog_00037的博客
05-19 699
探索高效系统调用拦截:syscall_intercept 开源库 项目介绍 syscall_intercept 是一个强大的用户空间系统调用拦截库,它允许你在用户空间内自定义 Linux 系统调用的行为。通过热补丁技术,该库能够实现在运行时替换标准 C 库中的系统调用,提供了一种低级别的接口来实现你的回调函数。 项目技术分析 syscall_intercept 使用 libcapstone 这个著...
[译] 玩转ptrace (一)
weixin_34360651的博客
12-16 300
[本文翻译自这里:http://www.linuxjournal.com/article/6100?page=0,0,作者:Pradeep Padaia] 你是否曾经想过怎样才能拦截系统调用?你是否曾经想过通过修改一下系统调用的参数来耍一把内核?你是否想过调试器是怎样把一个进程停下来,然后把控制权转移给你的?如果你以为这些都是通过复杂的内核编程来实现的,那你就错了,事实上,Linux 提...
在linux操作系统中如何截获系统调用
robinshaw的专栏
07-20 1481
在linux操作系统中如何截获系统调用 作者: Luster 出处: LinuxAid 责任编辑: 原野 [ 2005-06-27 15:04 ]
拦截系统调用实现以及要注意的问题
WU.GJ
01-09 1295
在2.6.32实现拦截系统调用 1.获取sys_call_table的地址 方法1:从/boot/System.map中取到sys_call_table的地址 由上图所看:第一:sys_call_table是只读的,下面是如何使得它变为RW。                      第二:这种方法获取的sys_call_table只是针对本机的,可移植性差 方法2:参考来源于:ht
ibm的aix操作系统_使用标准的公共IBM AIX接口进行系统调用拦截
cusi77914的博客
06-21 642
系统调用拦截被广泛用于各种目的,例如安全性,调试等。 自AIX 6.1 TL06和AIX 7.1起,AIX提供了一个名为kmod_util的标准公共接口来支持系统调用拦截。 本教程说明了如何在不同情况下使用kmod_util接口进行系统调用拦截。 了解系统调用指令的运行 系统调用是允许用户应用程序请求需要特殊特权的操作的例程。 系统调用是通过运行系统调用指令的用户代码进行的,这导致输入...
革新系统调用拦截:Reverie
gitblog_00006的博客
05-22 405
革新系统调用拦截:Reverie 去发现同类优质开源项目:https://gitcode.com/ 在Linux的世界里,Reverie是一个强大的用户空间系统调用拦截框架。它能让你在内核执行系统调用之前捕获、修改甚至消除它们。这个工具就像一个边界守护者,矗立在用户态和内核态之间。 项目介绍 Reverie的设计目标是让系统调用的监控和操控变得简单而高效。它提供了异步等待机制,可以处理阻塞式系统调...
Linux拦截系统调用
09-15
系统调用拦截是通过将系统要执行的系统调用替换为自己编写的内核函数来实现的。在Linux系统中,系统调用一般使用int 0x80指令(x86)或者syscall指令(x64)来调用。利用Linux内核模块可以实现系统调用拦截。下面...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值